為保障內(nèi)部網(wǎng)絡(luò)系統(tǒng)中多種設(shè)備和機密數(shù)據(jù)等核心資產(chǎn)的安全,各種組織機構(gòu)將內(nèi)外網(wǎng)進行隔離,使得移動存儲介質(zhì)廣泛應(yīng)用于內(nèi)外網(wǎng)之間交換數(shù)據(jù)。由于對移動存儲介質(zhì)缺乏嚴(yán)格的管控策略,內(nèi)部威脅人員可使用移動存儲介質(zhì)威脅內(nèi)網(wǎng)安全。一方面,內(nèi)部威脅人員可使用移動存儲介質(zhì)將惡意代碼注入內(nèi)網(wǎng)�，F(xiàn)有惡意程序主要使用C/C++開發(fā),但完全使用JavaScript開發(fā)的惡意程序開始出現(xiàn),其可通過移動存儲介質(zhì)注入內(nèi)網(wǎng)。另一方面,內(nèi)部威脅人員可基于Autorun機制,使用移動存儲介質(zhì)自動化竊取機密數(shù)據(jù)。雖然該機制已被禁用,但是繞過該防御實現(xiàn)自動化竊取數(shù)據(jù)的攻擊方式依舊存在。因此,本文對內(nèi)部威脅人員使用移動存儲介質(zhì)向內(nèi)網(wǎng)中注入惡意JavaScript腳本和自動化竊取數(shù)據(jù)兩個方面進行研究,以進一步提升內(nèi)網(wǎng)中的系統(tǒng)和數(shù)據(jù)安全保障能力。本文的主要工作及創(chuàng)新點如下:1)針對利用移動存儲介質(zhì)注入惡意JavaScript腳本的行為,使用N-gram方法提取特征,并基于相關(guān)檢測算法實現(xiàn)在無需區(qū)分代碼是否被混淆的情況下完成檢測。2)針對將JavaScript代碼N-gram處理后特征維度較高的問題,本文利用TF-IDFlike方法計算... 

【文章來源】：中北大學(xué)山西省

【文章頁數(shù)】：61 頁

【學(xué)位級別】：碩士

【部分圖文】：

Windows操作系統(tǒng)使用ScriptHost執(zhí)行JavaScript代碼結(jié)果

薷墓碳?納璞浮?（C）僅由電氣硬件組件組成的精制設(shè)備。通過移動存儲設(shè)備竊取內(nèi)部核心數(shù)據(jù)和用戶隱私是執(zhí)行USB攻擊的主要惡意操作之一。在不需要修改固件執(zhí)行攻擊類別中，通過USB閃存驅(qū)動器，基于Autorun、AutoPlay和U3的攻擊得到流行。該方法根據(jù)主機的配置方式，在無需與用戶交互的情況下，可以自動執(zhí)行指定路徑的惡意可執(zhí)行文件，以達到惡意破壞或竊取數(shù)據(jù)的目的。例如，在移動存儲介質(zhì)（盤符E）中新建Autorun.inf文件，加入如下格式代碼，當(dāng)與主機建立連接后可自動執(zhí)行attack.exe可執(zhí)行文件，核心代碼如圖2-3所示。圖2-3Autorun攻擊示例代碼Figure2-3AutorunattackexamplecodePodSlurping攻擊是基于Autorun的攻擊的著名示例之一[51]，指將大量敏感文件從主機復(fù)制到USB存儲設(shè)備的行為。該方法在USB存儲設(shè)備上存儲攻擊程序，惡意程序會在設(shè)備與主機建立連接后自動執(zhí)行數(shù)據(jù)竊取操作。另一個流行的示例是Hacksaw/Switchblade工具族[51]，這些工具基于可配置的閃存驅(qū)動器，可以使用光盤，只讀存儲器（CD-ROM）分區(qū)進行自定義。這些閃存驅(qū)動器連接到主機后，會在主機上靜默安裝惡意程序，該程序會監(jiān)視主機是否連接了新的外部驅(qū)動器，并在檢測到時將其上存儲的所有數(shù)據(jù)壓縮和拆分，然后將其發(fā)送到攻擊者指定的郵箱內(nèi)。出于安全考慮，Microsoft默認(rèn)情況下在Windows上禁用了可移動驅(qū)動器的AutoPlay功能，并且很快發(fā)展成為一種慣例，即完全禁用Autorun功能[50]。這種措施還可以通過

中北大學(xué)學(xué)位論文31時間開銷作為因變量，保留維度作為自變量，擬合成一條直線。1-gram和2-gram處理后使用本方法和使用PCA的時間開銷和保留維數(shù)的關(guān)系分別如圖3-1和圖3-2表示，橫軸表示保留的特征維度，單位為個，縱軸表示對應(yīng)的時間開銷，單位為秒。圖3-11-gram處理后使用本方法和使用PCA的時間開銷和保留維數(shù)的關(guān)系Figure3-1RelationshipbetweentimeconsumptionandretentiondimensionsusingthismethodandusingPCAafter1-gramprocessing圖3-22-gram處理后使用本方法和使用PCA的時間開銷和保留維數(shù)的關(guān)系Figure3-2RelationshipbetweentimeconsumptionandretentiondimensionsusingthismethodandusingPCAafter2-gramprocessing


本文編號：2930954